攻防世界-upload1

最新推荐文章于 2024-04-22 17:07:01 发布
最新推荐文章于 2024-04-22 17:07:01 发布
阅读量288 收藏
点赞数
文章标签: web 信息安全 安全 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u258710/article/details/118485382
版权

攻防世界-upload1

在这里插入图片描述打开之后发现是一个上传页面,第一想法上传一句话木马,使用菜刀连接,尝试发现只能上传图片
在这里插入图片描述F12查看源码,发现 if([‘jpg’,‘png’].contains(ext)),就禁止报错弹窗。既然过滤是在前端,想到使用burpsuit抓包,修改后缀名
在这里插入图片描述写一句话木马并保存文件格式为.jpg,使用burpsuit抓包,修改后缀名为.php。
在这里插入图片描述
在这里插入图片描述我这没装菜刀,使用御剑连接在这里插入图片描述
在这里插入图片描述发现flag:cyberpeace{789aee8b9c1dbec5bd9e01a8673afc9d}

贰伍捌柒
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界Training-Stegano-1
10-31
【标题】"攻防世界Training-Stegano-1" 是一个关于信息安全领域的训练题目,主要涉及的是隐写术(Steganography)技术。隐写术是一种隐藏信息的技术,通常用于在图像、音频或文本中嵌入秘密数据,使得非授权者无法...
攻防世界1-misc杂项
11-20
攻防世界1-misc杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947726
攻防世界CTF题:upload1
Aixwei的博客
04-11 1002
发现这里有个onchange事件,大概写了个前端的文件check,那我们在前端把它删掉再上传文件试试。发现了 disabled属性,我们把它删掉之后上传按键可以点击了,此时点击上传,可以看到上传成功。细看当前页面,发现上传按钮灰掉了,但是上传的文件还保留在前端并没有删除,此时再查看前端代码,最后,通过上传图片类型的木马,再通过bp抓包修改后缀绕过前端验证也是可以的成功。发现这里弹窗提示你要上传图片,可能是前端验证文件格式,所以先看一下源代码,我们先正常上传一句话木马,被拦截后点击确定,
攻防世界-upload01】
lalalalafan的博客
11-08 2430
1、查看源码得到,只是判断了后缀 if(['jpg','png'].contains(ext)){ submit.disabled = false; } else{ submit.disabled = true; alert('请选择一张图片文件上传!'); }} 2、文本编辑一句话木马,改为.jpg或者.png后缀,再burp抓包改为.php就可 3、访问上传的文件,可以访问到,用蚁剑连接,在根目录中找到flag.php ...
CTF-WEB篇 攻防世界题目实战解析upload1
最新发布
2301_76565920的博客
04-22 963
题目:upload 知识点:一句话木马,webshell,burpsuite拦截并修改数据包
攻防世界:upload1
bjml_的博客
11-06 721
攻防世界:upload1
攻防世界upload1(web)
yuanxu8877的博客
11-22 1057
攻防世界web-upload1
xctf攻防世界 upload1
m0_71282722的博客
05-08 201
此时将木马文件后缀改为jpg,一会再用bp改过来。查看flag.php 找到flag。第二种上传方式:使用bp绕过。第一种:前端绕过,删除约束。此时能上传php文件了。
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界杂项津门杯2021-m1
11-14
攻防世界杂项津门杯2021-m1,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127840757
攻防世界misc2-1杂项
11-20
攻防世界misc2-1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947409
upload(simple)
02-07
自己写的,感兴趣的可以下载看看,对初学者有用,可以起参考作用。
攻防世界-web-upload1
wuh2333的博客
05-21 305
攻防世界,upload1
upload1-攻防世界
Fisher
08-08 249
wu
攻防世界-WEB-upload1
Lucifer的专栏
09-09 310
必须上传图片,F12审计一下代码。得到上传成功的文件,请求文件名。get成功,证明文件已经上传。一句话木马,使用菜刀连接。通过bp修改文件类型。
xctf攻防世界 Web高手进阶区 upload1
l8947943的博客
08-03 9360
xctf攻防世界 Web高手进阶区 upload1
攻防世界-Web-upload1
Welcome To Myon'Blog !
03-27 265
一句话木马,文件上传,绕过,PHP,抓包改包放包,burp使用,蚁剑用法
攻防世界 upload1
m0_56107268的博客
05-07 193
进入先查看源代码 function check(){ upfile = document.getElementById("upfile"); submit = document.getElementById("submit"); name = upfile.value; ext = name.replace(/^.+\./,''); if(['jpg','png'].contains(ext)){ submit.disabled = false; }else{ submit.disable
攻防世界upload1
07-28
common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [XCTF-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值